Безопасность частного облака на основе технологий Microsoft

Содержание

Слайд 2

О чем будем говорить?

Основные проблемы безопасности частных облаков
Построение безопасного частного облака
Новинки ИБ

О чем будем говорить? Основные проблемы безопасности частных облаков Построение безопасного частного
в Windows Server 2012

Слайд 3

Что такое облака?

Что такое облака?

Слайд 4

Более 400 облачных сервисов Microsoft

300M+ Users 76 markets and 48 languages

4

Более 400 облачных сервисов Microsoft 300M+ Users 76 markets and 48 languages
миллиарда писем ежедневно

5.0 миллиардов сообщений в день
59 markets and 36 languages

Слайд 5

Как Microsoft видит частное облако

Управление

Характеристики:
Самообслуживание арендаторов
Оплата за потребляемые ресурсы
Автоматическое развертывание, управление и

Как Microsoft видит частное облако Управление Характеристики: Самообслуживание арендаторов Оплата за потребляемые
мониторинг
Интерфейс мониторинга и отчетности доступный арендаторам

Слайд 6

Основные проблемы безопасности

Безопасность названа главнейшим препятствием на пути к применению облаков
Основные проблемы:
Изоляция

Основные проблемы безопасности Безопасность названа главнейшим препятствием на пути к применению облаков
арендаторов друг от друга и инфраструктуры облака на уровне вычислительных ресурсов, хранилища, сети
Аутентификация / Авторизация / Аудит доступа к облачным ресурсам и физической инфраструктуре
Влияние на КЦД сервисов или данных с помощью уязвимостей в ПО или зловредного кода
Неавторизованный доступ или DoS атаки из-за неправильной настройки

Источник: IDC Enterprise Panel, August 2008

# КЦД = Конфиденциальность, Целостность и Доступность

Слайд 7

Безопасность ЦОД GFS Microsoft

Сертификация системы управления безопасностью ISO/IEC 27001:2005
Ежегодная аттестация SAS-70

Безопасность ЦОД GFS Microsoft Сертификация системы управления безопасностью ISO/IEC 27001:2005 Ежегодная аттестация
Type II
Разрешение эксплуатации по FISMA

Международная сертификация

Слайд 8

Автоматическое развертывание вирт. машин
Раздельное администрирование для арендаторов инфраструктуры
Автоматическое развертывание юнитов масштабирования (кластерами

Автоматическое развертывание вирт. машин Раздельное администрирование для арендаторов инфраструктуры Автоматическое развертывание юнитов
до 16 узлов)
Обновление хостов и вирт. машин без прерывания сервиса
Мониторинг инфраструктуры и автоматические корректирующие действия

Типовое решение облака IaaS

Слайд 9

Логическая архитектура облака IaaS

Логическая архитектура облака IaaS

Слайд 10

Пограничные маршрутизаторы

Агрегирующие маршрутизаторы

Агрегирующие коммутаторы

Хосты / вирт. машины

Хранилище

Отказоустойчивость и Fault Domain

Пограничные маршрутизаторы Агрегирующие маршрутизаторы Агрегирующие коммутаторы Хосты / вирт. машины Хранилище Отказоустойчивость и Fault Domain

Слайд 11

Пограничные маршрутизаторы

Агрегирующие маршрутизаторы

Агрегирующие коммутаторы

Хосты / вирт. машины

Хранилище

Отказоустойчивость и Fault Domain

Пограничные маршрутизаторы Агрегирующие маршрутизаторы Агрегирующие коммутаторы Хосты / вирт. машины Хранилище Отказоустойчивость и Fault Domain

Слайд 12

Управляемая инфраструктура ключ к безопасности

Стек безопасности технологий Microsoft

Управляемая инфраструктура ключ к безопасности Стек безопасности технологий Microsoft

Слайд 13

Уязвимости ТОП 20 производителей ПО

Источник Secunia 2011 yearly report

Уязвимости ТОП 20 производителей ПО Источник Secunia 2011 yearly report

Слайд 14

Атаки на стек виртуализации

Родительский раздел

Вирт. машина

Ring 0: Kernel Mode

Оборудование

Клиентское приложение

Ядро ОС

Ring 3:

Атаки на стек виртуализации Родительский раздел Вирт. машина Ring 0: Kernel Mode
User Mode

VMBus

Virtualization Service Providers (VSPs)

Server Core

Слайд 15

Каждая ВМ получает свой собственный ресурс ОЗУ, дисков, ЦПУ, сетей
Отдельный процесс обслуживания

Каждая ВМ получает свой собственный ресурс ОЗУ, дисков, ЦПУ, сетей Отдельный процесс
для каждой ВМ
Изолированные каналы взаимодействия ВМ и родительского процесса
ВМ не может влиять на другие ВМ, родительский раздел и гипервизор
Взаимодействие ВМ только через родительский раздел

Защита стека виртуализации

Слайд 16

Server core уменьшает поверхность атаки
~50% меньше обновлений и рестартов

Server core лучший выбор

Server core уменьшает поверхность атаки ~50% меньше обновлений и рестартов Server core лучший выбор

Слайд 17

Hyper-V Authorization Manager Единая система авторизации и идентификации

Ролевое управление группами хостов и ВМ
Привязка

Hyper-V Authorization Manager Единая система авторизации и идентификации Ролевое управление группами хостов
ролей и групп к AD

Рекомендуется создавать дополнительные роли
Комбинация из 33-х операций для каждой роли
Обслуживание хоста Hyper-V
Обслуживанием сетей Hyper-V
Обслуживание ВМ Hyper-V

Слайд 18

Virtual Machine Manager Единая система авторизации и идентификации

Роли:
Administrator
Полный доступ ко всем хостам,

Virtual Machine Manager Единая система авторизации и идентификации Роли: Administrator Полный доступ
ВМ и серверам библиотек ВМ.
Delegated Administrator
Административный доступ к группе хостов и серверов библиотек
Self-Service User
Административный доступ к ограниченному набору ВМ через веб интерфейс портала самообслуживания

Создание нестандартных ролей доступа через портал самообслуживания

Слайд 19

Изоляция сетевого траффика

Только базовые возможности виртуального коммутатора
Сегментация сети хоста и ВМ

Изоляция сетевого траффика Только базовые возможности виртуального коммутатора Сегментация сети хоста и
с помощью VLAN 802.1Q
Раздельные физические сетевые адаптеры на хосте Hyper-V
Фильтрация трафика между VLAN c помощью межсетевого экрана

Слайд 20

Защита сети в Hyper-V

Новые возможности виртуального коммутатора Windows Server 2012
PVLAN
Защита от ARP/ND

Защита сети в Hyper-V Новые возможности виртуального коммутатора Windows Server 2012 PVLAN
Spoofing
Защита от подложного DHCP
Разграничение доступа к портам виртуального коммутатора с помощью Virtual Port ACLs
Trunk Mode для виртуальных машин
Мониторинг и проверка траффика портов вирт. Коммутатора
Партнерские расширения
Cisco: Nexus 1000V & UCS Virtual Machine Fabric Extender (VM-FEX)
NEC: OpenFlow
5nine: Virtual Firewall 3.0
InMon: sFlow

Слайд 21

Недоверенный

Неуправляемый ПК

Контроллер Active Directory

X

X

Доверенный сервер

Корпоративная сеть

Определить логические границы

Распространяем политики и данные аутентификации

Управляемые

Недоверенный Неуправляемый ПК Контроллер Active Directory X X Доверенный сервер Корпоративная сеть
системы могу работать друг с другом

Блокируем входящие соединения от
недоверенных клиентов

Ограничение доступа к ресурсам в зависимости
от доверия к системе

Изоляция сегментов с помощью IPSec

Слайд 22

Фильтрация сетевого трафика

Использовать Windows Firewall with Advanced Security (WFAS) на хосте и

Фильтрация сетевого трафика Использовать Windows Firewall with Advanced Security (WFAS) на хосте
ВМ
Настройки межсетевого экрана распространять с помощью групповых политик
Правила межсетевого экрана могут применяться через портал самообслуживания
Использование IDS/IPS для обнаружения аномалий сетевого трафика и реагирования на них.

Слайд 23

Развертывание виртуальных машин одной кнопкой прекрасно….
Внедрение виртуализации без управления способно принести больше

Развертывание виртуальных машин одной кнопкой прекрасно…. Внедрение виртуализации без управления способно принести
вреда, чем пользы.
Результатом автоматизации бардака всегда становится автоматизированный бардак!

Централизация управления

Слайд 24

Автоматизация управления, мониторинга и отчетности

Сложность управления инфраструктурой ухудшает безопасность
Ручные операции на множестве

Автоматизация управления, мониторинга и отчетности Сложность управления инфраструктурой ухудшает безопасность Ручные операции
систем выполняемые множеством администраторов приводят к ошибкам
Если вы не знаете что есть в вашей инфраструктуре вы не можете этим управлять!

Порталы
и отчеты

Сторонние решения

Слайд 25

Автоматизация управления, мониторинга и отчетности

ИТ задачи Процесс развертывания ВМ

Остановить устаревшую ВМ, освободить

Автоматизация управления, мониторинга и отчетности ИТ задачи Процесс развертывания ВМ Остановить устаревшую
ресурсы, удалить из CMDB
Клонировать ВМ
Обновить ВМ, развернуть приложения
Зарегистрировать новый объект в CMDB и подключить мониторинг

Слайд 26

Обновление хостов кластера Hyper-V с помощью System Center и Orchestrator

Обновление хостов кластера Hyper-V с помощью System Center и Orchestrator

Слайд 27

Соответствие Хостов, ВМ, приложений требованиям политики ИБ

Проверьте базовую конфигурацию рекомендуемую Microsoft для:

Соответствие Хостов, ВМ, приложений требованиям политики ИБ Проверьте базовую конфигурацию рекомендуемую Microsoft

Членов домена, Хостов Hyper-V, Контроллеров домена и.т.д.
Применение базовой конфигурации
Экспорт из библиотеки Microsoft Security Compliance Manager в групповую политику
Измерение соответствия базовой конфигурации
Экспорт из библиотеки Microsoft Security Compliance Export в DCM пакет Configuration Manager и создание отчетов по собранным данным

Слайд 28

Библиотека рекомендаций Microsoft Security Compliance Manager

Windows Server 2008 R2 AD Certificate Services

Библиотека рекомендаций Microsoft Security Compliance Manager Windows Server 2008 R2 AD Certificate
Server Baseline
Windows Server 2008 R2 Attack Surface Reference.xlsx
Windows Server 2008 R2 DHCP Server Baseline
Windows Server 2008 R2 DNS Server Baseline
Windows Server 2008 R2 Domain Baseline
Windows Server 2008 R2 Domain Controller Baseline
Windows Server 2008 R2 Member Server Baseline
Windows Server 2008 R2 File Server Baseline
Windows Server 2008 R2 Hyper-V Baseline
Windows Server 2008 R2 Network Access Services Server Baseline
Windows Server 2008 R2 Print Server Baseline
Windows Server 2008 R2 Remote Desktop Services Baseline
Windows Server 2008 R2 Web Server Baseline
Windows Server 2008 R2 Setting Pack
Windows Server 2008 R2 Security Guide.docx
Windows 7, Windows Vista, Windows XP,
Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Internet Explorer 8
Microsoft Office 2010, and Office 2007

Слайд 29

RMS

BitLocker

Шифрование директорий с данными
Хранение ключей EFS на смарткарте

EFS

Защита данных и ОС
Безопасная передача

RMS BitLocker Шифрование директорий с данными Хранение ключей EFS на смарткарте EFS
данных партнерам и клиентам

Защита данных от утечек и инсайдеров

Защита информации в течении всего цикла жизни
Шифрование данных основных приложений Microsoft

Слайд 30

Панацея?

Все проблемы безопасности частного облака технически средствами не решить:
Единая система аутентификации и

Панацея? Все проблемы безопасности частного облака технически средствами не решить: Единая система
авторизации доступа к физическим и виртуальным элементам облачного ЦОД
Единая система мониторинга, управления, развертывания, обновления System Center
Разделение полномочий развертывания, защиты, аудита
Включение в проекты сотрудника отдела безопасности
Строжайшие политики физического доступа в ЦОД

Слайд 31

Ресурсы

Microsoft Virtualization:
http://www.microsoft.com/virtualization
Microsoft Virtualization TechCenter
http://technet.microsoft.com/ru-ru/virtualization/default.aspx
Microsoft Hyper-V Security Guide
http://technet.microsoft.com/en-us/library/dd569113.aspx
Windows Virtualization Blog Site:
http://blogs.technet.com/virtualization/default.aspx
Windows

Ресурсы Microsoft Virtualization: http://www.microsoft.com/virtualization Microsoft Virtualization TechCenter http://technet.microsoft.com/ru-ru/virtualization/default.aspx Microsoft Hyper-V Security Guide
Server 2008 Virtualization & Consolidation:
http://www.microsoft.com/windowsserver2008/en/us/virtualization-consolidation.aspx
System Center Virtual Machine Manager (SCVMM)
http://www.microsoft.com/systemcenter/virtualmachinemanager/en/us/default.aspx
Hyper-V FAQ
http://www.microsoft.com/windowsserver2008/en/us/hyperv-faq.aspx

Слайд 32

Ресурсы

Virtualization Hypervisors” evaluation criteria: http://www.burtongroup.com/Client/Research/Document.aspx?cid=1569
Security Best Practices for Hyper-V and Server

Ресурсы Virtualization Hypervisors” evaluation criteria: http://www.burtongroup.com/Client/Research/Document.aspx?cid=1569 Security Best Practices for Hyper-V and
Virtualization http://bit.ly/hq6chE
Virtualization Security Overview by Cisco
http://bit.ly/eJqi0Z
Private Cloud Solution Hub
www.technet.com/cloud/private-cloud
Private Cloud IaaS Page
www. microsoft.com/privatecloud
Имя файла: Безопасность-частного-облака-на-основе-технологий-Microsoft.pptx
Количество просмотров: 183
Количество скачиваний: 1